Governança de Tecnologia da Informação

Este artigo apresenta os principais conceitos e padrões relacionados à Governança de TI e oferece uma visão para integrar a Engenharia de Software a esse contexto.

Por que eu devo ler este artigo:Este artigo apresenta os principais conceitos e padrões relacionados à Governança de TI e oferece uma visão para integrar a Engenharia de Software a esse contexto.

Fornecer conhecimento essencial sobre Governança de TI e o posicionamento da Engenharia de Software nesse contexto para organizações, pesquisadores, estudantes e profissionais de software.

Organizações que realizam ou desejam realizar Governança de TI e desejam integrar suas práticas de Engenharia de Software a essa abordagem. Pesquisadores, estudantes e profissionais de TI que buscam entendimento sobre Governança de TI, bem como sua relação com Engenharia de Software.

Nos dias de hoje, é quase impossível pensar em uma organização que não faça uso da Tecnologia da Informação. Se há alguns anos a Tecnologia da Informação era privilégio das grandes empresas e centros de pesquisa, hoje ela pode ser considerada uma necessidade comum a praticamente todos os tipos de organizações, desde a ‘vendinha do Seu Joaquim’ até as grandes empresas multinacionais.

No início de sua utilização nas organizações, a Tecnologia da Informação teve sua aplicação focada principalmente no apoio à realização de processos operacionais. Com o passar do tempo e com as evoluções tecnológicas que ocorreram em ritmo acelerado, a Tecnologia da Informação passou a apoiar processos de todos os níveis e áreas das organizações.

Mas, o que levou as organizações a destinarem grande parte de seus orçamentos para investimentos em Tecnologia da Informação? Modismo? Definitivamente não.

A utilização da Tecnologia de Informação de maneira adequada mostrou-se como um acelerador do desempenho organizacional, o que, entre outros, contribuiu fortemente para o aumento da competitividade das organizações. Percebeu-se, então, que quanto melhor a Tecnologia de Informação fosse aplicada e gerida, melhores seriam os resultados obtidos. Em outras palavras, enxergou-se na Tecnologia de Informação uma aliada fundamental para as organizações alcançarem seus objetivos de negócio.

Apesar dessa percepção, ainda é muito comum organizações investirem milhões em tecnologia e não obterem o retorno esperado. Ainda são comuns projetos de Tecnologia da Informação que estouram os prazos e custos e que não atendem aos requisitos de qualidade desejados. Ainda são comuns os serviços de Tecnologia da Informação prestados de forma insatisfatória.

Considerando esse cenário e a dependência cada vez maior dos negócios em relação à Tecnologia da Informação, torna-se necessária sua gestão de forma alinhada aos objetivos estratégicos das organizações. Nesse sentido, surge a Governança de Tecnologia da Informação, que trata basicamente do alinhamento das ações relacionadas à Tecnologia da Informação com os objetivos do negócio, a fim de que a utilização da Tecnologia da Informação seja capaz de agregar valor ao negócio como um todo.

E onde entra a Engenharia de Software? Para responder a essa questão basta lembrar que desenvolver e manter software são atividades relacionadas à Tecnologia da Informação e, no contexto da estrutura organizacional, normalmente a área de desenvolvimento de sistemas de uma organização é parte da área de Tecnologia de Informação. Ou seja, uma vez que o desenvolvimento e a manutenção de sistemas fazem parte da Tecnologia da Informação em uma organização, estes também são considerados na Governança de Tecnologia da Informação.

Para entender melhor a Governança de Tecnologia da Informação e o posicionamento das práticas de Engenharia de Software nesse contexto, nas seções seguintes são apresentados alguns conceitos e padrões relacionados ao tema para, então, ser possível localizar a Engenharia de Software no âmbito da Governança de Tecnologia de Informação.

As Organizações e a Tecnologia de Informação

Organizações são compostas por diferentes níveis e áreas funcionais. Apesar de existirem diversas nomenclaturas propostas por diferentes autores, comumente diz-se que as organizações são estruturadas em três níveis (nível estratégico, nível gerencial ou tático e nível operacional) e que esses níveis são ‘atravessados’ pelas áreas funcionais da organização (como vendas e marketing, recursos humanos, produção e finanças, por exemplo). À estrutura formada pelos níveis e áreas funcionais dá-se o nome de Arquitetura Organizacional, conforme mostra a Figura 1.

Figura 1. Arquitetura Organizacional.

No nível operacional encontram-se os processos cuja execução garante o funcionamento diário da organização. Em um banco, por exemplo, depósitos e transferências são processos do nível operacional.

No nível gerencial (também chamado nível tático) encontram-se os processos relacionados à monitoração, controle, tomada de decisões e procedimentos administrativos. No exemplo do banco, a monitoração e controle do alcance das metas diárias são processos do nível gerencial.

No nível estratégico estão os processos que consideram uma visão mais ampla da organização, incluindo seu posicionamento em relação ao mercado. A análise de viabilidade para abertura de uma nova agência bancária ou lançamento de um novo produto é exemplo de um processo do nível estratégico.

Em cada nível, também estão as pessoas responsáveis pela execução dos processos: funcionários em geral, gerentes, diretores e executivos.

O funcionamento e a integração entre os processos e as pessoas que compõem a Arquitetura Organizacional podem ser descritas, macroscopicamente, da seguinte forma: no nível estratégico é definido o Planejamento Estratégico da organização, onde constam os objetivos de negócio, estabelecidos com foco na competitividade organizacional e que devem ser alcançados em períodos de tempo determinados (longo, médio e curto prazo). Para esses objetivos são definidos Planos de Ação, que são executados (em sua maior parte) no nível operacional, sendo monitorados e controlados pelo nível gerencial.

A palavra-chave que guia os processos do nível estratégico é competitividade. A questão básica é o que deve ser feito para que a organização seja sempre interessante para o mercado. Por outro lado, a palavra-chave que guia os processos do nível gerencial é sobrevivência. A questão básica passa a ser o que deve ser feito para que a organização atinja as metas estabelecidas e, assim, continue funcionando. Por fim, a palavra-chave que guia os processos do nível operacional é funcionamento, uma vez que o nível operacional é a ‘água que move o moinho’, ou seja, faz a organização funcionar.

A utilização da Tecnologia da Informação em uma organização deve ser realizada a fim de apoiar a execução dos processos da Arquitetura Organizacional. Ao integrar a Tecnologia da Informação à Arquitetura Organizacional, os processos da organização ficam sobre a estrutura de Tecnologia da Informação e quanto melhor apoiados forem os processos, maiores são as oportunidades de competitividade para a organização. A Figura 2 apresenta uma evolução da Figura 1, evidenciando a relação entre a Arquitetura Organizacional e a estrutura de Tecnologia da Informação

Figura 2. Arquitetura Organizacional e estrutura de TI.

Conforme ilustrado na Figura 2, a estrutura de Tecnologia da Informação refere-se à estrutura de hardware, software, armazenamento de dados e redes de comunicação que apóiam tecnologicamente os processos das organizações. Sendo assim, aplicativos de integração de processos e/ou tomada de decisão, bem como, sistemas operacionais, serviços de redes e correio eletrônico são partes integrantes da TI.

Vale destacar que a Governança de TI considera além da estrutura de TI que foi descrita, os recursos humanos envolvidos em seu desenvolvimento e operação.

Governança de TI

Apesar de seu destaque associado à Tecnologia de Informação ser relativamente recente, o termo governança não é novo para a Administração. A palavra governança significa ato ou efeito de governar. Governar, por sua vez, significa administrar, dirigir. No contexto da Administração, pode-se dizer, então, que de certa forma, a governança tem estado presente desde o final do século XIX, quando o foco era a gestão da produção (tratada principalmente por Taylor, Ford e Fayol), mantendo sua presença durante as evoluções da gestão, que culminaram no controle da qualidade e produtividade de produtos e processos.

No contexto da Tecnologia da Informação, o termo governança pode ser considerado novo, mas, como tudo o que é relacionado à tecnologia, vem evoluindo e ganhando espaço rapidamente.

A Governança de TI faz parte da Governança Corporativa, que surgiu nos Estados Unidos e na Inglaterra no final dos anos 90 e está relacionada à forma como as empresas são dirigidas e controladas. A Governança Corporativa é um conjunto de práticas de relacionamento entre acionistas, cotistas, conselho de administração, diretoria e conselho fiscal, que tem a finalidade de otimizar o desempenho da organização e facilitar o acesso ao capital.

A Governança de TI é um conjunto de práticas que visam à utilização e gestão da Tecnologia da Informação alinhada aos objetivos estratégicos e é de responsabilidade da alta administração (incluindo diretores e executivos de negócio e de TI), que deve atuar para garantir que a Tecnologia da Informação da organização seja capaz de sustentar e estender seus objetivos estratégicos, através do gerenciamento de serviços e produtos de TI de forma dinâmica e competitiva. Para isso, a Governança de TI possui cinco focos principais:

A utilização da Governança de TI tem sido impulsionada por diversos fatores. Como já comentado neste artigo, a intensa competição mercadológica tem exigido que as organizações realizem grandes investimentos em TI, o que tem tornado o sucesso dos negócios cada vez mais dependente do sucesso da aplicação da Tecnologia da Informação. Consequentemente, as organizações têm buscado melhorar a gestão dos recursos destinados à TI, sendo necessárias práticas que assegurem que tanto os gestores quanto a estrutura de Tecnologia da Informação estejam adequados para agregar valor para a organização e que o capital destinado para a TI não será investido em ações de baixo valor estratégico.

Se por um lado, as próprias organizações têm percebido a necessidade de melhorar a gestão da Tecnologia da Informação, por outro, leis e regulamentações dos negócios têm imposto essa necessidade de melhoria. Empresas com ações na bolsa de valores norte-americana, por exemplo, são obrigadas a atender aos requisitos do Ato Sarbanes-Oxley. Bancos, por sua vez, precisam atender aos requisitos de gestão de riscos operacionais e de créditos previsto no Acordo da Basiléia II.

Uma maneira interessante de notar a importância e a responsabilidade da Governança de TI é relembrar alguns escândalos que ocorreram em empresas norte-americanas.

Em 2001, organizações como a Enron, a Tyco International e a WorldCom foram denunciadas por fraudes contábeis e fiscais, pois divulgaram lucros fictícios em seus relatórios financeiros, a fim de tornarem-se mais atraentes aos investidores de capitais, omitindo sua real situação financeira. A Enron, na época supostamente 7ª colocada no ranking da economia americana, faliu em dezembro de 2001 e a WorldCom demitiu cerca de 20.000 funcionários. Ambas, após vários processos e investigações, tiveram seus principais executivos presos e responsabilizados pelas fraudes.

Essa onda de escândalos trouxe à tona questões como transparência, ética nos negócios e conflitos de interesses que geraram desconfiança e instabilidade entre os investidores do mercado de capitais. Como resposta à onda de fraudes, em Julho de 2002, os senadores Paul Sarbanes e Michael Oxley formularam o Ato Sarbanes-Oxley que responsabiliza os executivos por estabelecer, avaliar e monitorar os controles internos relacionados aos relatórios financeiros da organização. O objetivo principal do ato é proteger os investidores do mercado de capitais americano de fraudes contábeis e financeiras, bem como responsabilizar os envolvidos com uma série de penalidades.

Mas, o que isso tem a ver com Governança de TI?

Em síntese, o Ato Sarbanes-Oxley prevê controles internos sobre os relatórios financeiros das empresas. Os relatórios produzidos devem ser atestados pelos principais executivos da organização. E, normalmente, de onde vêm esses relatórios? Esses relatórios são resultado de várias transações que dependem de operações de TI, como sistemas de informação, acessos autorizados a redes de dados, armazenamento e recuperação de informações, entre outros. Ou seja, a figura do gestor de TI ou executivo de TI passa a ter uma conotação equivalente aos demais executivos da organização, uma vez que somente uma gestão transparente e alinhada aos objetivos de negócio da organização pode ser capaz de justificar os investimentos em TI e atestar a qualidade dos produtos desenvolvidos e serviços prestados.

Estrutura da Governança de TI

Tradicionalmente, a estrutura da Governança de TI é representada por uma figura que se assemelha a uma casa, conforme mostra a Figura 3.

Figura 3. Estrutura da Governança de TI

O telhado de uma casa, como se sabe, deve cobrir toda sua estrutura. Analogamente, no telhado da estrutura da Governança de TI encontram-se processos, práticas e diretrizes específicos da Governança de TI, ou seja, que definem o que deve ser feito para que a gestão de TI da organização seja alinhada aos seus objetivos estratégicos.

Sob o telhado estão os pilares da Tecnologia da Informação da organização, ou seja, todos os conjuntos de processos que estão relacionados à TI e são responsáveis por sustentá-la na organização. Conforme mencionado, no telhado é definido o que deve ser feito para que seja possível obter uma gestão de TI alinhada aos objetivos estratégicos. Nos pilares, por sua vez, o que é transformado em como, ou seja, as diretrizes fornecidas pela Governança de TI são incorporadas aos processos definidos em cada pilar.

Na base da casa, as operações de TI fornecem a fundação para que os processos definidos nos pilares possam ser corretamente realizados, produzindo resultados aderentes aos princípios da Governança de TI.

Apesar da estrutura de Governança de TI incluir vários componentes, nem sempre é necessário que uma organização implemente todos. O que define o que deve ou não ser incluso na Governança de TI em uma organização são suas necessidades, objetivos e recursos. Além disso, uma organização pode, também, optar por uma abordagem gradativa, trabalhando inicialmente nos pilares mais críticos e, aos poucos, inserindo os demais pilares.

Modelos, Normas e Melhores Práticas

Para apoiar a implementação da Governança de TI nas organizações, há no mercado, um conjunto de modelos, normas, práticas e frameworks que podem ser adotados, em conjunto ou não, para atender às demandas da Governança de TI. Esses modelos, normas, práticas e frameworks são recomendados, pois foram elaborados por órgãos específicos com grande conhecimento em suas respectivas áreas. Salvo algumas exceções, não faz sentido, por exemplo, reinventar a roda do gerenciamento de projetos, uma vez, que existe um guia de conhecimento mantido pelo PMI (Project Management Institute) bastante utilizado e aceito pelo mercado.

Na Figura 4 os principais modelos, normas, práticas e frameworks são relacionados aos componentes da estrutura de Governança de TI que melhor apóiam. Em seguida é apresentada uma breve descrição de cada um.

Figura 4. Frameworks de apoio à Governança de TI.

COBIT (Control Objectives for Information and Related Technology)

É considerado o modelo mais abrangente de Governança de TI. O Information Technology Governance Institute (ITGI) é atualmente o responsável pelo COBIT. É composto por 34 processos que estão organizados em quatro domínios que espelham os agrupamentos de TI usuais em uma organização: Planejamento e Organização; Aquisição e Implementação; Entrega e Suporte; e, Monitoração e Avaliação. As interações entre esses grupos de processos definem um ciclo de vida que contribui para o alinhamento da TI aos objetivos estratégicos da organização. COBIT foca o sucesso da entrega de produtos e serviços de TI, a partir da perspectiva das necessidades do negócio, com um foco mais acentuado no controle que na execução. Ou seja, preocupa-se mais com o que deve ser feito que como deve ser feito.

ITIL (Information Technology Infrastructure Library)

Descreve um conjunto de melhores práticas para gestão dos serviços de TI. Foi criada no final dos anos 80 pela CCTA (Central Computing and Telecommunications Agency) para o governo britânico e recebeu esse nome devido à quantidade de livros gerados para descrever as melhores práticas. Atualmente, a ITIL está em sua terceira versão e apresenta um framework para gerenciar o ciclo de vida dos serviços de TI. Inclui livros com melhores práticas para: definição e execução da estratégia de serviços, projeto e desenvolvimento de serviços, transição de serviços, operação de serviços e melhoria contínua dos serviços.

ISO/IEC 20000 – Information Technology Service Management

A norma ISO/IEC 20000, formulada a partir da BS 15000 (British Standards Instituition’s Standard for IT Service Management), foi publicada em 2005 para responder às necessidades de entendimento comum sobre gerenciamento de serviços de TI. Caracteriza o gerenciamento de serviços de TI baseando-se nas melhores práticas reunidas na ITIL e promovendo a adoção de um processo integrado para a prestação e o gerenciamento eficaz dos serviços de TI que respondem aos requisitos do negócio e dos seus clientes.

A norma está dividida em duas partes. A Parte 1 contém as especificações para o gerenciamento de serviços de TI e fornece os requisitos que devem ser cumpridos para obtenção da certificação ISO 20000. É relevante para os responsáveis pela preparação, implementação ou gerenciamento continuado dos serviços de TI em uma organização. A Parte 2 apresenta o código de prática e fornece orientação para auditores internos, bem como assistência aos prestadores de serviços que planejam melhorias.

CMMI (Capability Maturity Model Integration)

Criado pelo SEI (Software Engineering Institute) com o objetivo de ser um modelo integrado de práticas para apoiar a Engenharia de Software. O CMMI apóia a Governança de TI uma vez que guia a melhoria dos processos e habilidades organizacionais que cobrem o ciclo de vida de produtos e serviços.

Série ISO/IEC 27000 - Information Security Management Systems

A ISO/IEC 27001 trata do estabelecimento, implantação, operação, monitoração, revisão, manutenção e melhoria de um Sistema de Gestão da Segurança da Informação. Pode ser usada na avaliação da conformidade de um Sistema de Gestão da Segurança da Informação por partes interessadas internas e externas. A ISO/IEC 27002 estabelece os princípios gerais para iniciar, manter e melhorar a gestão da segurança da informação em uma organização, provendo, diretrizes sobre as metas geralmente aceitas nesse âmbito. Pode ser utilizada como um guia para elaborar os procedimentos de segurança da informação e práticas eficientes de gestão de segurança em uma organização.

PMBoK (Project Management Body of Knowledge)

É um documento que contém o conhecimento considerado relevante ao gerenciamento de projetos. É mantido pelo PMI (Project Management Institute), uma organização não governamental que trata das práticas do gerenciamento de projetos. O PMBoK define um conjunto de processos necessários ao gerenciamento de projetos, relacionando-os a nove áreas de conhecimento (escopo, tempo, custos, recursos humanos, qualidade, riscos, comunicações, aquisição e integração) e organizando-os em grupos de processos (iniciação, planejamento, execução, controle e encerramento) que compõem o ciclo da gerência de projetos.

BSC (Balanced Scorecard)

É um mecanismo que auxilia as organizações no alinhamento de suas ações em relação a seus objetivos estratégicos. Está organizado considerando quatro perspectivas do negócio: perspectiva financeira, perspectiva de processos internos, perspectiva de aprendizado e crescimento e perspectiva do cliente. A relação entre os objetivos do negócio e as perspectivas é demonstrada por meio de mapas estratégicos, que representam a criação de valor em uma organização. O BSC pode ser utilizado para apoiar as organizações no Planejamento Estratégico da TI, uma vez que permite desdobrar os objetivos estratégicos de TI em iniciativas que contribuam para os objetivos estratégicos da organização. Essas iniciativas podem ser realizadas em projetos que podem ser acompanhados, medidos e verificados até que sejam concluídos.

Série ISO 9000:2000 - Sistema de Gestão da Qualidade

É uma série de normas que utiliza princípios da gestão da qualidade total e tem como principal objetivo a geração de produtos e/ou serviços em conformidade com requisitos estabelecidos. O ciclo PDCA (Plan, Do, Check, Act) é usado na ISO 9000:2000 para tratar a melhoria contínua do Sistema de Gestão da Qualidade. Pode ser utilizada em conjunto com outras práticas para garantir a qualidade na entrega dos produtos/serviços. Vale ressaltar que o ciclo PDCA presente na ISO 9000:2000 também é utilizado em outras normas como, por exemplo, na ISO/IEC 20000 onde o foco é a melhoria contínua dos serviços de TI.

A Engenharia de Software na Governança de TI

Conhecidos os principais conceitos e a estrutura da Governança de TI, a relação entre Engenharia de Software e Governança de TI torna-se bastante clara. Não?

Analisando-se a Figura 3, é possível perceber que práticas de Engenharia de Software podem ser encontradas pelo menos nos pilares Desenvolvimento de Aplicações, Gerenciamento de Projetos e Sistema de Qualidade. Mas, exatamente onde?

Em Desenvolvimento de Aplicações são construídos os sistemas de informação necessários à organização. Para desenvolver software devem ser utilizadas práticas de Engenharia de Software. Além disso, é comum que o desenvolvimento de sistemas seja realizado por meio de projetos, e projetos devem ser gerenciados (no pilar Gerenciamento de Projetos da estrutura de Governança de TI). Para gerenciar projetos de desenvolvimento e/ou manutenção de software, as práticas de Engenharia de Software concernentes à gerência dos projetos precisam ser realizadas. Por fim, os softwares produzidos e os processos que os produzem precisam atender aos requisitos de qualidade de produto e processo de software estabelecidos, o que também envolve práticas da Engenharia de Software, como práticas de garantia da qualidade, por exemplo, que na estrutura de Governança de TI estão presentes no pilar Sistema de Qualidade.

Como argumentado no início deste artigo, o desenvolvimento e a manutenção de software são atividades relacionadas à Tecnologia da Informação. E, uma vez que no contexto da estrutura de Governança de TI, elas encontram-se sob os princípios dessa forma de gestão, é importante que suas práticas sejam condizentes com as demais práticas relacionadas a TI, guiadas pela Governança de TI. Em outras palavras, falar em Governança de TI envolve falar em Engenharia de Software. Planejar adequadamente a Governança de TI em uma organização exige que os aspectos relacionados à Engenharia de Software também sejam considerados e corretamente estruturados na estratégia de Governança de TI definida. Para isso, é necessário que os papéis, responsabilidades, entradas, saídas e interações sejam claramente estabelecidos ao longo de toda a estrutura de Governança de TI adotada.

Conclusão

A Governança de TI foi inicialmente impulsionada pela necessidade das organizações atenderem requisitos definidos em legislações específicas de seus segmentos. Percebidos os benefícios gerais alcançados, a Governança de TI passou a ser atraente para organizações em geral e vem conquistando cada vez mais seu espaço.

Na Governança de TI, os tradicionais gerentes de TI têm novas responsabilidades e uma nova visão organizacional é deles exigida, a fim de que se transformem em gestores de TI.

Ao contrário do que se imagina, gestores de TI, gerentes de projetos e engenheiros de software não são concorrentes na área de TI. Na verdade, estão todos no mesmo barco e, se querem chegar ao destino que representa o sucesso da organização como um todo, precisam remar de maneira sincronizada e na mesma direção.


Saiu na DevMedia!

  • React com Redux: O Redux atende as necessidades de pelo menos um cenário comum em aplicações cliente, facilitando a comunicação entre componentes sem acoplá-los. Sua importância é tanta atualmente que muitos programadores têm aconselhado seu uso independente do tamanho da aplicação, embora ele facilite o seu crescimento.
  • Levantamento de Requisitos: Nesta série, falamos sobre as técnicas, como conduzir uma reunião com o cliente e gerar os documentos mínimos necessários para o levantamento dos requisitos do software. Confira!

Saiba mais sobre Tecnologia de Informação ;)

  • Eu sobrevivo sem UML?: Você planeja suas aplicações antes de começar a programar? Ou é daqueles que pensa enquanto escreve? Cuidado, você corre o risco de chegar no meio do projeto sem saber para onde ir. Para evitar isso descubra nesta série a UML.
  • Engenharia de Software para programadores: Ter boas noções sobre engenharia de Software pode alavancar muito sua carreira e a sua forma de programar. Descubra nesse guia tudo o que um programador precisa saber sobre a ciência que existe por trás dos códigos.
  • Revista Engenharia de Software 15: Confira nesta edição da revista Engenharia de Software uma matéria sobre Priorização Voltada para Resultados, e veja também como incorporar Restrições à UML.

Referências
  • FERNANDES, A. A., ABREU, V. F., 2008, “Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços”, 2ª. Edição, Brasport, Rio de Janeiro.
  • LAUDON, K. C., LAUDON, J. P., 2004, “Sistemas de Informação Gerenciais – Administrando a Empresa Digital”, 2ª. Edição, Pearson - Prentice Hall, São Paulo.
  • MAGALHÃES, I. L.; PINHEIRO, W. B., 2007, “Gerenciamento de Serviços de TI na Prática: Uma Abordagem com Base na ITIL”, Novatec, São Paulo.

Artigos relacionados